当期目录

2018年 第4卷 第11期    刊出日期：2018-11-15

上一期    下一期

特别策划

瑞星网安，自主核心技术 助力网络安全

叶科 康全红 崔传桢

2018, 4(11):  966-973. 

摘要 ( )   PDF (3074KB) ( )  

相关文章 | 计量指标

北京瑞星网安技术股份有限公司（简称：瑞星公司）创立于 1991 年，作为老牌的安全企业， 一直专注于网络安全领域，以优质的产品和专业的“安全 +”服务，向用户提供核心技术的整体 解决方案。近年，瑞星公司战略转型，核心技术在网络安全领域不断获得新的成就，并且在终端 安全、威胁感知、虚拟化安全方面为用户提供良好的方案。

软件安全性可靠性专题

软件安全性可靠性专题评述

孙伟

2018, 4(11):  974-976. 

摘要 ( )   PDF (781KB) ( )  

相关文章 | 计量指标

代码安全性审查方法研究

贺江敏 相里朋

2018, 4(11):  977-986. 

摘要 ( )   PDF (1764KB) ( )  

参考文献 | 相关文章 | 计量指标

软件中的安全问题一直是困扰软件行业发展的一个难题，为了找出软件中存在的漏洞和安全隐患，人们发明了各种安全性测试方法，但只有源代码级的测试才能深入挖掘软件中的深层次安全问题。本文从常用的软件测试方法入手，对代码审查中质量审查和安全性审查的不同点进行了比较，并从代码安全性人工走查和代码安全性工具静态分析两个方面对代码安全性审查的方法进行了研究，最后对代码安全性审查未来发展的方向进行了展望。

等保2.0时代云计算安全要求及测评实践

高员 黄晓昆 李秀伟

2018, 4(11):  987-992. 

摘要 ( )   PDF (1216KB) ( )  

参考文献 | 相关文章 | 计量指标

自2008年公安部发布《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）以来，该标准在各行业和领域均得到广泛应用。但随着新技术、新应用的发展，该标准的时效性、易用性、可操作性需要进一步完善，因此国家安标委对该标准进行了修订，针对云计算、大数据、移动互联、物联网、工业控制等技术提出了安全扩展要求。本文即对云计算安全要求中的技术安全要求进行解析，从等级保护的角度对云计算系统中的安全保护对象、安全责任主体、安全保护要求进行分析，并以某地区电子政务云平台为例，分享云等保测评经验，提出在对云计算系统开展等级保护测评工作中存在的问题及下一阶段的建议。

基于Sigmoid函数的软件漏洞风险评价算法

王帆 洪流 顾欣

2018, 4(11):  993-996. 

摘要 ( )   PDF (1604KB) ( )  

参考文献 | 相关文章 | 计量指标

在软件开发过程中，开发人员通常对代码的安全性关注较少，同时现有的安全测试与渗透测试也缺乏整体安全分析，导致软件漏洞风险难以把控．若在软件产品中存在安全漏洞，将对涉及该软件产品的系统安全造成严重影响．着眼于国家网络安全与基础软硬件自主可控战略的大背景和现有软件漏洞风险评价的不足之处，提出基于Sigmoid函数的软件漏洞风险评价算法，对软件的安全漏洞风险情况进行评价，帮助开发人员快速定位安全性最差的代码模块，修补或选取更加安全、优秀的代码，提高软件整体安全水平．

区块链技术的安全问题研究综述

顾欣 徐淑珍

2018, 4(11):  997-1001. 

摘要 ( )   PDF (1178KB) ( )  

参考文献 | 相关文章 | 计量指标

随着区块链技术应用越来越广泛，区块链技术的研究逐渐变得越来越重要．区块链技术是由多种技术组合而成，利用共识机制来解决拜占庭将军问题和防止恶意攻击，同时还使用数字签名、哈希计算等密码学方式确保交易安全，因此区块链技术被誉为信任的机器．首先对典型区块链技术架构进行了详细阐述，然后从区块数据结构、哈希算法、数字签名、智能合约等方面对区块链技术的安全性进行了详细分析，最后总结了区块链技术仍面临的安全性问题．

软件可靠性工程综合应用建模技术研究

尚京威 陈平 韩邢健

2018, 4(11):  1002-1010. 

摘要 ( )   PDF (2236KB) ( )  

参考文献 | 相关文章 | 计量指标

软件可靠性工程作为保证和提高软件可靠性的一项工程技术，在软件的研制过程中发挥着重要作用。但是由于软件可靠性工程中各项活动目的和过程存在较大差异，在工程实践中难以将各项软件可靠性工程技术有机的结合在一起，且容易出现软件可靠性工程过程脱离软件开发过程的情况，严重影响了软件可靠性工程的应用与推广。本文通过对软件可靠性工程活动与开发过程，以及可靠性工程活动之间的数据交互关系的分析，提出了数据驱动的软件可靠性工程过程模型，该模型以工作流的形式实现了软件可靠性工程活动之间的信息交互，实现了软件可靠性工程对软件开发的全过程可靠性技术支持，有利于软件可靠性工程综合集成环境的实现。

软件可靠性模型中的知识度量

杨春晖

2018, 4(11):  1011-1016. 

摘要 ( )   PDF (2229KB) ( )  

参考文献 | 相关文章 | 计量指标

软件知识在软件测试和软件可靠性模型中起着重要的作用．从缺陷密度的威布尔分布出发，分析测试者的知识水平与故障分布的定量关系，发现尺度参数c与知识量成反比关系．据此可以依据知识量与缺陷发现的分布曲线预测测试发现问题的趋势及软件的可靠性，从而确定测试结束时机．通过开展软件测试工程实验进行了所提出结论的验证，这表明，测试者的知识越多，Weibull分布的比例因子c变小．此外，根据软件知识的程度，在测试中发现的问题的趋势估计，以预测软件的可靠性．

智能可穿戴产品信息安全能力要求及评价方法

杨东裕 张旭阳 谢浪雄

2018, 4(11):  1017-1024. 

摘要 ( )   PDF (1850KB) ( )  

参考文献 | 相关文章 | 计量指标

近年来，智能可穿戴产业飞速发展，逐渐成为“互联网+”时代下一个发展热点，但产品质量水平参差不齐，用户隐私泄露等信息安全隐患突出，信息安全问题频发.因此，如何评价评价智能可穿戴产品的安全防护能力以及安全等级，成为消费者最为关注的问题.通过安全能力要求来表征智能可穿戴产品应该具备的可防范安全威胁的技术手段，从穿戴式设备安全能力、数据处理终端应用软件安全能力、后端计算与服务系统安全能力以及用户数据保护安全能力5个方面定义了一种智能可穿戴产品分级评价方法；指导厂商提升智能可穿戴产品的安全防护能力，并为消费者购买产品提供参考.

智能网联汽车软件安全测试关键技术研究

贾世准 麦松涛 李冬 陈志远 肖静

2018, 4(11):  1025-1028. 

摘要 ( )   PDF (1146KB) ( )  

参考文献 | 相关文章 | 计量指标

摘要智能网联汽车与传统汽车的差别关键在于基于软件的智能化应用与服务，软件是智能网联汽车的核心与关键，汽车软件的质量是保障智能网联汽车产业健康发展的保证.在简要分析了智能网联汽车信息安全风险的基础之上，围绕智能网联汽车软件质量问题，重点针对车载总线及网关系统、汽车操作系统及应用程序、V2X网络及应用等，阐述开展安全性测评的关键技术与方法，并提出相应的解决方案.

学术论文

基于区块链的电子政务大数据安全共享研究

金泳 徐雪松 王刚 曾智

2018, 4(11):  1029-1033. 

摘要 ( )   PDF (1904KB) ( )  

参考文献 | 相关文章 | 计量指标

大数据时代，大数据的共享能够有效解决“数据孤岛”的现象，数据资源也能有效整合，区块链技术的去中心化、开放性、自治性、匿名性、信息不可篡改等天然特性可以推动大数据安全的共享。再则，政务大数据蕴含的是巨大的经济价值和社会价值，政务大数据的安全共享对政府的转型，社会需求模式的转变都具有极大意义。以此，本文以政务大数据为例，分析了基于区块链的大数据安全共享的可行性研究，提出了基于区块链的大数据安全共享需求模型以及保障方案，最后给出了基于区块链技术的大数据安全共享的特点，以期为政府电子政务大数据安全共享提供有益参考。

一种基于CPK的远程认证方案

陈亚茹 陈庄 齐锋

2018, 4(11):  1034-1039. 

摘要 ( )   PDF (1663KB) ( )  

参考文献 | 相关文章 | 计量指标

随着宽带网络的接入和企业移动办公模式的兴起，针对现有的客户端与服务器远程认证过程中存在客户端私钥泄露、ECDH协议遭受中间人攻击等问题，提出了一种改进的CPK认证方案，有效地解决客户端私钥泄露、ECDH协议遭受中间人攻击的问题，实现了多用户并发登录.提出的改进方案是基于随机数的CPK算法，该算法是在原CPK 基础上对密钥协商协议进行了改进，同时用随机数对用户标识进行绑定，不同私钥有不同的随机数，不存在线性关系.通过模拟实验，证明该方案有较强的安全性及计算效率.

基于TF-IDF和随机森林算法的Web攻击流量检测方法研究

祝鹏程 陈洁 黄诚 刘强

2018, 4(11):  1040-1045. 

摘要 ( )   PDF (2589KB) ( )  

参考文献 | 相关文章 | 计量指标

随着网络技术与应用的发展，Web服务器不可避免的成为了黑客的主要攻击目标。而传统基于正则匹配的Web入侵检测系统存在规则库维护困难、特征库臃肿的问题；基于机器学习的常规检测模型也存在特征提取复杂，识别率较低的问题。针对这些问题，本文提出一种基于TF-IDF和随机森林构架的Web攻击流量检测模型，该模型使用TF-IDF算法构建词频矩阵，自动提取有效载荷的特征,使用随机森林算法进行分类建模，识别出正常流量与攻击流量。实验结果表明，该方法对攻击流量的检测率达到了98.7%，实现了特征自动提取，简化了检测方法，适合于进行Web攻击流量的检测。

基于国密算法的新型电子邮件加密系统研究与实现

杨润东 李子臣

2018, 4(11):  1046-1051. 

摘要 ( )   PDF (1958KB) ( )  

参考文献 | 相关文章 | 计量指标

链式加密技术是一种重要的邮件加密技术，结合了对称密钥算法与非对称密钥算法的优点.基于身份的密码系统是使用用户标识作为公钥的非对称公钥密码体系.为了电子邮件在网络中的安全传输，结合国密SM4分组算法、国密SM3杂凑算法、基于身份的签密技术以及链式加密技术，设计了一种基于国密算法的新型电子邮件加密系统NMES.系统实现了一次一密绝对安全，提高了安全性和通信效率，有效地解决了证书管理、撤销困难的问题，具有广泛的应用前景.

一种新的直方图数字水印算法研究与设计

肖文静 岳桢 宋培非 李子臣

2018, 4(11):  1052-1058. 

摘要 ( )   PDF (2689KB) ( )  

参考文献 | 相关文章 | 计量指标

直方图数字水印能抵抗局部或全局几何攻击，具有较强鲁棒性，是目前数字水印研究的热点.提出了一种新的基于直方图的数字水印算法，首次利用直方图的2个bin(其中直方图由多个bin组成)嵌入由“-1，0，1”组成的水印信息，提高了嵌入水印的容量.水印嵌入过程中，需遵循以下嵌入规则.当第1个bin高于第2个bin时，嵌入信息为1；2个bin相差小于等于1时，嵌入信息为0；第1个bin低于第2个bin时，嵌入信息为-1.实验结果表明：新算法嵌入水印信息容量增加60%，并具有较高的鲁棒性.

专家视点

当前企业面临的四大网络安全威胁

唐威

2018, 4(11):  1059-1060. 

摘要 ( )   PDF (741KB) ( )  

相关文章 | 计量指标